Für die Installation und den Betrieb einer One Identity Manager-Datenbank werden folgende Einstellungen des Datenbankservers und der Datenbank vorausgesetzt.
Tabelle 4: Einstellungen für den Datenbankserver
Sprache (Language) |
English |
|
Serversortierung (Server Collation) |
Case-Insensitiv
SQL_Latin1_General_CP1_CI_AS (empfohlen) |
|
Extreme Transaktionsverarbeitung unterstützt (Is XTP Supported) |
True |
One Identity Manager nutzt In-Memory-OLTP (Online Transactional Processing - Onlinetransaktionsverarbeitung) für speicheroptimierte Datenzugriffe. Der Datenbankserver muss die extreme Transaktionsverarbeitung (XTP) unterstützen. In einer Standardinstallation ist diese Funktion aktiviert.
Die Einstellung wird durch den Configuration Wizard vor einer Installation oder Aktualisierung der One Identity Manager-Datenbank geprüft. Ist XTP nicht aktiviert, wird die Installation oder Aktualisierung nicht gestartet. |
SQL Server Agent |
Gestartet |
Starten Sie den SQL Server Agent in der Dienstverwaltung des SQL Server. Sie können sich am SQL Server Agent sowohl mit einem Domänen-Benutzerkonto (Domain User) mit Windows Authentifizierung anmelden als auch mit einem lokalen Systemkonto.
Die Einstellung wird durch den Configuration Wizard vor einer Installation oder Aktualisierung der One Identity Manager-Datenbank geprüft. Ist der SQL Server Agent nicht gestartet, wird die Installation oder Aktualisierung nicht gestartet. |
Tabelle 5: Einstellungen für die Datenbank
Sortierung (Collation) |
SQL_Latin1_General_CP1_CI_AS |
Die Einstellung wird durch den Configuration Wizard vor einer Installation oder Aktualisierung der One Identity Manager-Datenbank geprüft und gegebenenfalls für die Datenbank eingestellt. |
Wiederherstellungsmodell (Recovery model) |
Einfach (Simple) |
Die Einstellung wird durch den Configuration Wizard vor einer Installation oder Aktualisierung der One Identity Manager-Datenbank geprüft. Ist das Wiederherstellungsmodell nicht auf den Wert Einfach gesetzt, wird vor der Installation oder Aktualisierung eine Warnung ausgegeben. Diese Warnung kann ignoriert werden.
Aus Performancegründen wird jedoch empfohlen, für die Zeit der Schemainstallation oder der Schemaaktualisierung die Datenbank auf das Wiederherstellungsmodell Einfach zu setzen. |
Kompatibilitätsgrad (Compatibility level) |
SQL Server 2017 (140) |
Die Einstellung wird durch den Configuration Wizard vor einer Installation oder Aktualisierung der One Identity Manager-Datenbank geprüft und gegebenenfalls für die Datenbank eingestellt. |
Statistiken automatisch erstellen (Auto Create Statistics) |
True |
Die Einstellung wird durch den Configuration Wizard vor einer Installation oder Aktualisierung der One Identity Manager-Datenbank geprüft und gegebenenfalls für die Datenbank eingestellt. |
Statistiken automatisch aktualisieren (Auto Update Statistics) |
True |
Die Einstellung wird durch den Configuration Wizard vor einer Installation oder Aktualisierung der One Identity Manager-Datenbank geprüft und gegebenenfalls für die Datenbank eingestellt. |
Statistiken automatisch asynchron aktualisieren (Auto Update Statistics Asynchronously) |
True |
Die Einstellung wird durch den Configuration Wizard vor einer Installation oder Aktualisierung der One Identity Manager-Datenbank geprüft und gegebenenfalls für die Datenbank eingestellt. |
Abbruch bei arithmetischem Fehler aktiviert (Arithmetic Abort enabled) |
True |
Die Einstellung wird durch den Configuration Wizard vor einer Installation oder Aktualisierung der One Identity Manager-Datenbank geprüft und gegebenenfalls für die Datenbank eingestellt. |
Bezeichner in Anführungszeichen aktiviert (Quoted Identifiers Enabled) |
True |
Die Einstellung wird durch den Configuration Wizard vor einer Installation oder Aktualisierung der One Identity Manager-Datenbank geprüft und gegebenenfalls für die Datenbank eingestellt. |
Broker aktiviert (Broker Enabled) |
True |
Die Einstellung wird durch den Configuration Wizard vor einer Installation oder Aktualisierung der One Identity Manager-Datenbank geprüft und gegebenenfalls für die Datenbank eingestellt. |
Ist aktivierte READ COMMITTED-Momentaufnahme (Is Read Committed Snapshot On) |
True |
Die Standardeinstellung für Transaktionen ist AutoCommit. Werden Transaktionen benötigt, werden diese explizit eröffnet.
Diese Einstellungen haben sich als beste Abwägung von Datensicherheit und Performance innerhalb der massiven Parallelverarbeitung für One Identity Manager herausgestellt. Andere Transaktionsmodi werden vom One Identity Manager nicht unterstützt.
Die Einstellung wird durch den Configuration Wizard vor einer Installation oder Aktualisierung der One Identity Manager-Datenbank geprüft und gegebenenfalls für die Datenbank eingestellt. |
Parametrisierung (Parameterization) |
Forced |
Die Einstellung wird durch den Configuration Wizard vor einer Installation oder Aktualisierung der One Identity Manager-Datenbank geprüft und gegebenenfalls für die Datenbank eingestellt. |
Datenbankdatei und Datendateigruppe für speicheroptimierte Tabellen |
Erforderlich |
One Identity Manager nutzt In-Memory-OLTP (Online Transactional Processing - Onlinetransaktionsverarbeitung) für speicheroptimierte Datenzugriffe.
Für die Erstellung speicheroptimierter Tabellen sind folgende Voraussetzungen zu erfüllen:
- Es muss eine Datenbankdatei mit den Dateityp Filestream-Daten (Filestream data) vorhanden sein.
- Es muss eine speicheroptimierte Datendateigruppe (Memory-optimized data filegroup) vorhanden sein.
Vor einer Installation oder Aktualisierung der One Identity Manager-Datenbank geprüft der Configuration Wizard, ob diese Anforderungen erfüllt sind.
Es werden im Configuration Wizard Reparaturmethoden angeboten, um die Datenbankdatei und die Datendateigruppe zu erstellen. Die Datenbankdatei wird durch die Reparaturmethode im Verzeichnis der Datendatei (*.mdf) erstellt. |
Ausführliche Informationen zu den genannten Datenbankservereigenschaften finden Sie unter https://docs.microsoft.com/en-us/sql/database-engine/configure-windows/view-or-change-server-properties-sql-server.
Ausführliche Informationen zu den genannten Datenbankeigenschaften finden Sie unter https://docs.microsoft.com/en-us/sql/relational-databases/databases/view-or-change-the-properties-of-a-database und https://docs.microsoft.com/en-us/sql/relational-databases/system-catalog-views/sys-databases-transact-sql.
Verwandte Themen
Für den Einsatz einer One Identity Manager-Datenbank auf einem SQL Server mit dem abgestufte Berechtigungskonzept werden folgende Benutzer unterschieden. Die Berechtigungen der Benutzer auf Serverebene und Datenbankebene sind auf ihre Aufgaben abgestimmt.
-
Installationsbenutzer
Der Installationsbenutzer wird für die initiale Installation einer One Identity Manager-Datenbank mit dem Configuration Wizard benötigt.
HINWEIS: Wenn Sie bei der Aktualisierung von Version 8.0.x auf die Version 8.2 auf das abgestufte Berechtigungskonzept wechseln möchten, benötigen Sie ebenfalls diesen Installationsbenutzer.
-
Administrativer Benutzer
Der administrative Benutzer wird durch Komponenten des One Identity Manager verwendet, die Berechtigungen auf Serverebene und Datenbankebene benötigen, beispielsweise der Configuration Wizard, der DBQueue Prozessor oder der One Identity Manager Service.
-
Konfigurationsbenutzer
Der Konfigurationsbenutzer kann Konfigurationsaufgaben innerhalb des One Identity Manager ausführen, beispielsweise kundenspezifischen Schemaerweiterungen erstellen oder mit dem Designer arbeiten. Konfigurationsbenutzer benötigen Berechtigungen auf Serverebene und Datenbankebene.
-
Endbenutzer
Endbenutzer erhalten nur Berechtigungen auf Datenbankebene, um beispielsweise Aufgaben mit dem Manager oder dem Web Portal zu erfüllen.
Ausführliche Informationen zu den minimalen Berechtigungsebenen der One Identity Manager-Werkzeuge finden Sie im One Identity Manager Handbuch zur Autorisierung und Authentifizierung.
Berechtigungen für den Installationsbenutzer
Für den Installationsbenutzer müssen eine SQL Server Anmeldung und ein Datenbankbenutzer mit den folgenden Berechtigungen zur Verfügung gestellt werden.
SQL Server:
-
Mitglied der Serverrolle dbcreator
Die Serverrolle wird nur benötigt, wenn die Datenbank durch den Configuration Wizard erstellt wird.
-
Mitglied der Serverrolle sysadmin
Diese Serverrolle wird nur benötigt, wenn die Datenbank durch den Configuration Wizard erstellt wird und dabei die Verzeichnisse für die Dateien über den Dateibrowser gewählt werden müssen. Werden die Dateien in den Standardverzeichnissen des Datenbankservers abgelegt, wird die Berechtigung nicht benötigt.
-
Mitglied der Serverrolle securityadmin
Diese Serverrolle wird für die Erstellung der SQL Server Anmeldungen benötigt.
-
Berechtigung view server state mit der Option with grant option und Berechtigung alter any connection mit der Option with grant option
Die Berechtigungen werden zum Prüfen von Verbindungen und gegebenenfalls Schließen von Verbindungen benötigt.
-
Berechtigung alter any server role
Die Berechtigung wird benötigt, um die Serverrolle für den administrativen Benutzer zu erzeugen.
msdb-Datenbank:
-
Berechtigung Select mit der Option with grant option für die Tabellen dbo.sysjobs, dbo.sysjobschedules, dbo.sysjobactivity, dbo.sysschedules und dbo.sysjobhistory
Die Berechtigungen werden zum Ausführen und Überwachen von Datenbankschedules benötigt.
-
Berechtigung alter any user
Die Berechtigung wird zum Erzeugen der benötigten Datenbankbenutzer für den administrativen Benutzer benötigt.
-
Berechtigung alter any role
Die Berechtigung wird zum Erzeugen der benötigten Datenbankrollen für den administrativen Benutzer benötigt.
master-Datenbank:
-
Berechtigung alter any user
Die Berechtigung wird zum Erzeugen der benötigten Datenbankbenutzer für den administrativen Benutzer benötigt.
-
Berechtigung alter any role
Die Berechtigung wird zum Erzeugen der benötigten Datenbankrollen für den administrativen Benutzer benötigt.
-
Berechtigung Execute mit der Option with grant option für die Prozedur xp_readerrorlog
Die Berechtigung wird benötigt, um Informationen zum Systemstatus des Datenbankservers zu ermitteln.
-
Mitglied der Datenbankrolle SQLAgentUserRole
Die Datenbankrolle wird zum Verwalten von Datenbankschedules während der Aktualisierung von Version 8.0.x auf die Version 8.2 benötigt.
One Identity Manager-Datenbank:
-
Mitglied der Datenbankrolle db_owner
Diese Datenbankrolle wird benötigt, wenn bei der Installation des Schemas mit dem Configuration Wizard eine vorhandene Datenbank verwendet werden soll oder eine Aktualisierung des Schemas erfolgt.
Berechtigungen für den administrativen Benutzer
Für den administrativen Benutzer werden während der Installation der One Identity Manager-Datenbank mit dem Configuration Wizard folgende Prinzipale mit den Berechtigungen erstellt:
SQL Server:
msdb-Datenbank:
- Datenbankrolle OneIMRole_<DatabaseName>
-
Mitglied der Datenbankrolle SQLAgentUserRole
Die Datenbankrolle wird zum Ausführen von Datenbankschedules benötigt.
-
Berechtigung Select für die Tabellen dbo.sysjobs, dbo.sysjobschedules, dbo.sysjobactivity, dbo.sysschedules und dbo.sysjobhistory
Die Berechtigungen werden zum Ausführen und Überwachen von Datenbankschedules benötigt.
- Datenbankbenutzer OneIM_<DatabaseName>
master-Datenbank:
One Identity Manager-Datenbank:
-
Datenbankbenutzer Admin
-
Mitglied in Datenbankrolle db_owner
Die Datenbankrolle wird benötigt, um eine Datenbank mit dem Configuration Wizard zu aktualisieren.
-
Der Datenbanknutzer wird der SQL Server Anmeldung <DatabaseName>_Admin zugewiesen.
Berechtigungen für den Konfigurationsbenutzer
Für Konfigurationsbenutzer werden während der Installation der One Identity Manager-Datenbank mit dem Configuration Wizard folgende Prinzipale mit den Berechtigungen erstellt:
SQL Server:
One Identity Manager-Datenbank:
Berechtigungen für den Endbenutzer
Für Endbenutzer werden während der Installation der One Identity Manager-Datenbank mit dem Configuration Wizard folgende Prinzipale mit den Berechtigungen erstellt:
SQL Server:
One Identity Manager-Datenbank:
Hinweise zur Nutzung der integrierten Windows Authentifizierung
Die integrierte Windows Authentifizierung kann für den One Identity Manager Service und die Webanwendungen uneingeschränkt genutzt werden. Für die Fat-Clients kann die integrierte Windows Authentifizierung genutzt werden. Die Nutzung von Windows Gruppen zur Anmeldung wird unterstützt. Zur Sicherstellung der Funktionalität wird jedoch dringend die Nutzung einer SQL Server Anmeldung empfohlen.
Um die integrierte Windows Authentifizierung einzusetzen
-
Richten Sie für das Benutzerkonto auf dem Datenbankserver eine SQL Server Anmeldung ein.
-
Tragen Sie als Standardschema dbo ein.
-
Weisen Sie der SQL Server Anmeldung die benötigten Berechtigungen zu.
Um die One Identity Manager-Datenbank in einer verwalteten Instanz in Azure SQL-Datenbank zu betreiben, wird der Tarif Unternehmenskritisch benötigt. Ausführliche Informationen finden Sie bei Microsoft unter https://azure.microsoft.com/en-us/services/sql-database/.
Verwandte Themen
Für die Installation und den Betrieb einer One Identity Manager-Datenbank werden folgende Einstellungen des Datenbankservers und der Datenbank vorausgesetzt.
Tabelle 6: Einstellungen für den Datenbankserver
Sprache (Language) |
English |
|
Serversortierung (Server Collation) |
Case-Insensitiv
SQL_Latin1_General_CP1_CI_AS (empfohlen) |
|
Extreme Transaktionsverarbeitung unterstützt (Is XTP Supported) |
True |
Standardeinstellung. |
SQL Server Agent |
Gestartet |
Standardeinstellung. |
Tabelle 7: Einstellungen für die Datenbank
Sortierung (Collation) |
SQL_Latin1_General_CP1_CI_AS |
Die Einstellung wird durch den Configuration Wizard vor einer Installation oder Aktualisierung der One Identity Manager-Datenbank geprüft und gegebenenfalls für die Datenbank eingestellt. |
Wiederherstellungsmodell (Recovery model) |
Vollständig (Full) |
Standardeinstellung. |
Kompatibilitätsgrad (Compatibility level) |
SQL Server 2017 (140) |
Die Einstellung wird durch den Configuration Wizard vor einer Installation oder Aktualisierung der One Identity Manager-Datenbank geprüft und gegebenenfalls für die Datenbank eingestellt. |
Statistiken automatisch erstellen (Auto Create Statistics) |
True |
Die Einstellung wird durch den Configuration Wizard vor einer Installation oder Aktualisierung der One Identity Manager-Datenbank geprüft und gegebenenfalls für die Datenbank eingestellt. |
Statistiken automatisch aktualisieren (Auto Update Statistics) |
True |
Die Einstellung wird durch den Configuration Wizard vor einer Installation oder Aktualisierung der One Identity Manager-Datenbank geprüft und gegebenenfalls für die Datenbank eingestellt. |
Statistiken automatisch asynchron aktualisieren (Auto Update Statistics Asynchronously) |
True |
Die Einstellung wird durch den Configuration Wizard vor einer Installation oder Aktualisierung der One Identity Manager-Datenbank geprüft und gegebenenfalls für die Datenbank eingestellt. |
Abbruch bei arithmetischem Fehler aktiviert (Arithmetic Abort enabled) |
True |
Die Einstellung wird durch den Configuration Wizard vor einer Installation oder Aktualisierung der One Identity Manager-Datenbank geprüft und gegebenenfalls für die Datenbank eingestellt. |
Bezeichner in Anführungszeichen aktiviert (Quoted Identifiers Enabled) |
True |
Die Einstellung wird durch den Configuration Wizard vor einer Installation oder Aktualisierung der One Identity Manager-Datenbank geprüft und gegebenenfalls für die Datenbank eingestellt. |
Broker aktiviert (Broker Enabled) |
True |
Die Einstellung wird durch den Configuration Wizard vor einer Installation oder Aktualisierung der One Identity Manager-Datenbank geprüft und gegebenenfalls für die Datenbank eingestellt. |
Ist aktivierte READ COMMITTED-Momentaufnahme (Is Read Committed Snapshot On) |
True |
Die Standardeinstellung für Transaktionen ist AutoCommit. Werden Transaktionen benötigt, werden diese explizit eröffnet.
Diese Einstellungen haben sich als beste Abwägung von Datensicherheit und Performance innerhalb der massiven Parallelverarbeitung für One Identity Manager herausgestellt. Andere Transaktionsmodi werden vom One Identity Manager nicht unterstützt.
Die Einstellung wird durch den Configuration Wizard vor einer Installation oder Aktualisierung der One Identity Manager-Datenbank geprüft und gegebenenfalls für die Datenbank eingestellt. |
Parametrisierung (Parameterization) |
Forced |
Die Einstellung wird durch den Configuration Wizard vor einer Installation oder Aktualisierung der One Identity Manager-Datenbank geprüft und gegebenenfalls für die Datenbank eingestellt. |
Datenbankdatei und Datendateigruppe für speicheroptimierte Tabellen |
Erforderlich |
Standardeinstellung. |